תקן אבטחת מידע
ISO 27001
GDPR תקנות להגנת הפרטיות האירופאי
GDPR (תקנות הגנת הפרטיות האירופאיות), היא רגולציית הגנה הפרטיות של המדינות האירופאיות. התקנות האירופאיות נכנסו לתוקפן ב- 25 למאי 2018 כאשר המטרה של אלו וזאת בדומה לישראל היא להגן על המידע האישי של כל אזרחי האיחוד האירופי וזאת באמצעות הטלת חובות מסוימות והוראות שונות לחברות וארגונים אשר אוספים מידע אישי לגבי אזרחים המשתייכים אל האיחוד האירופי, מאחסנים אותו במסדי נתונים ומעבדים אותו. ה- GDPR מחזיר את השליטה במידע האישי החשוף ברשת הדיגיטלית לכל אחד מאזרחי אירופה.
מי מחויב בתקנות ?
הרגולציה חלה על כל בעל שליטה במידע שהעסק שלו נמצא בגבולות האיחוד באירופאי וכן על מעבדי מידע.
מעב�ד המידע הוא הגורם אשר מבצע זאת בפועל- איסוף מידע אישי, עיבודו ואחסונו עבור בעל השליטה.
ישנם עסקים שאינם נמצאים בתחומי האיחוד, אך בכל זאת יהיו מחויבים לרגולציה במידה והארגון מחזיק במידע על תושבי האיחוד (לשם מכירת מוצרים/ שירותים) ו/או במידה והארגון משתמש באתר/ אפליקציה לצורך מעקב אחר התנהגות הצרכן האירופאי.
במקרה כזה, עסקים המחויבים לרגולציה, אך אינם בתחומי האיחוד, יש חובה למנות DPO מטעמם באחת ממדינות האיחוד לצורך ייצוג וייפוי כוח מול הרגולטורים.
בעל השליטה הוא זה המבקש לבצע איסוף ועיבוד מידע, לרוב לצורך פעילותו העסקית.
תהליך העמידה בתקנות הגנת הפרטיות האירופאי
1. מיפוי מאגרי המידע של הארגון.
2. הכנת סקר פערים עפ"י מה שקיים בארגון אל מול מה שנדרש בתקנות.
3. בניית תוכנית עבודה בהתאם לסקר הפערים.
4. מעקב וסיוע בתיקון הפערים.
5. מינוי data protection officer - DPO.
6. הכנת נהלים ומסמכי מדיניות.